CEO Blog

เปิดช่องโหว่ 'แอพชื่อดัง' บนคอมพิวเตอร์

By นักรบ เนียมนามธรรม10 ก.พ. 2020 เวลา 21:04 น.
เปิดช่องโหว่ 'แอพชื่อดัง' บนคอมพิวเตอร์

การวางระบบรักษาความปลอดภัยไซเบอร์ ต้องวางแผนให้ครอบคลุมทุกส่วน ทั้งระบบ ทุกช่องทาง

ยิ่งบริษัทให้บริการหลายช่องทาง หลายรูปแบบมากเท่าไหร่ ก็ยิ่งมีโอกาสเกิดจุดอ่อนในแต่ละช่องทางมากเท่านั้น สำหรับบริษัทที่ให้บริการบนโลกไซเบอร์แล้วนั้น การเกิดช่องโหว่ถือเป็นเรื่องใหญ่ที่จะสั่นคลอนความน่าเชื่อถือของบริษัทได้มากทีเดียว

ดังเช่นกรณีที่แอพพลิเคชั่นระบบส่งข้อความทันทีในสมาร์ทโฟนชื่อดัง หรือที่เราเรียกว่า Instant Messaging ถูกพบว่า มีช่องโหว่สำคัญในเว็บเบราว์เซอร์ ที่บริษัทเปิดให้ลูกค้าใช้เป็นอีกช่องทางเพื่อให้สามารถส่งข้อความได้อีกช่องทาง หากไม่ต้องการใช้สมาร์ทโฟน

โดยนักวิจัยทางด้านความปลอดภัยไซเบอร์เปิดเผยถึงรายละเอียดทางด้านเทคนิคที่เกี่ยวกับช่องโหว่ขั้นร้ายแรงที่เกิดขึ้นกับแอพพลิเคชั่นชื่อดังนี้ เพราะช่องโหว่ดังกล่าวจะส่งผลกระทบร้ายแรงกับผู้ใช้งานเป็นล้านล้านคนที่ใช้ บริการบนคอมพิวเตอร์ ทั้งระบบปฏิบัติการวินโดว์สของไมโครซอฟท์ และแมค โอเอสของแอ๊ปเปิ้ล

นักวิจัยทางด้านความปลอดภัยไซเบอร์พบช่องโหว่ CVE-2019-18426 ซึ่งเป็นช่องโหว่ที่อยู่ในเว็บเบราว์เซอร์ของแอพลิเคชั่นชื่อดังที่ถูกออกแบบมาให้ทำงานกับระบบปฏิบัติการบนเครื่องคอมพิวเตอร์ และต้นตอของช่องโหว่ก็คือข้อบกพร่องในส่วนของ Content Security Policy (CSP) ที่นำไปสู่การโจมตีแบบ XSS ของแอพพลิเคชั่นบนคอมพิวเตอร์ ซึ่งแฮกเกอร์สามารถหลอกล่อเหยื่อเพื่อใช้ช่องโหว่ได้ด้วยการประดิษฐ์โค้ด JavaScript อันตรายและส่งไปหาเหยื่อให้คลิก 

นอกจากนี้ ยังได้สาธิตการใช้งานช่องโหว่ที่ช่วยให้เขาสามารถเข้าถึงไฟล์ C:\Windows\System32\drivers\etc\hosts ให้ได้เห็นอีกด้วย

หากแฮกเกอร์เข้าถึงเหยื่อด้วยวิธีการดังกล่าวได้สำเร็จจะทำให้สามารถเข้าไปดูข้อมูลส่วนบุคคลของเหยื่อและขโมยออกมาได้ ไม่เพียงเท่านั้นยังสามารถล่วงรู้ถึงข้อมูลสำคัญอื่นๆได้อีกด้วย

หลังจากทำการรายงานปัญหานี้ไป บริษัทเจ้าของแอพพลิเคชั่นดังกล่าว ก็ได้มีการอุดช่องโหว่นี้เป็นที่เรียบร้อย ด้วยการปล่อยตัวอัพเดทที่แก้ไขแล้วสำหรับแอพพลิเคชั่นบนเครื่องคอมพิวเตอร์ออกมา นอกจากนี้ยังได้มอบเงินรางวัลประมาณ 12,500 ดอลลาร์ จากโปรแกรม Bug Bounty ของทางบริษัทให้กับนักวิจัยทางด้านความปลอดภัยไซเบอร์ผู้ค้นพบช่องโหว่ครั้งนี้อีกด้วย

อย่างที่ผมเคยกล่าวไป การจะวางระบบรักษาความปลอดภัยไซเบอร์จะต้องวางแผนให้ครอบคลุมทุกส่วน ทั้งระบบ ทุกช่องทาง เพราะแม้เราวางแผนพลาดไปเพียงช่องทางเดียว แต่ความเสียหายก็สามารถลุกลามไปยังส่วนอื่นๆได้อยู่ดี

ซึ่งผมอยากให้มองดูถึงการตั้งรับปัญหาที่เกิดขึ้นของบริษัทที่เกิดปัญหาช่องโหว่นี้ การเปิดให้บริการแก่ลูกค้ากลุ่มใหญ่ โดยไม่รับรู้ถึงช่องโหว่ที่อาจสร้างความเสียหายให้แก่ผู้ใช้ เป็นธรรมดาที่จะทำให้ชื่อเสียงของบริษัทเสียหาย เพื่อไม่ให้เกิดภาพลักษณ์ที่ไม่ดีกับแบรนด์มากไปกว่านี้ บริษัทใหญ่ๆจึงจัดโปรแกรม Bug Bounty โดยจะจ่ายเงินรางวัลให้กับผู้ที่พบช่องโหว่ที่เกี่ยวข้องกับบริการของบริษัท

ข้อดีคือนอกจากจะหันเหความสนใจไปที่การแจกเงินรางวัลแล้ว ยังทำให้บริษัทมีผู้เชี่ยวชาญคอยช่วยเหลือ ตรวจสอบช่องโหว่ให้ฟรีอีกด้วย แต่อย่างไรก็ตามตัวบริษัทเองก็ต้องระวังไม่ให้เกิดช่องโหว่ขึ้นจึงจะดีที่สุดครับ

ทั้งนี้ในส่วนของผู้ใช้งานเองก็ต้องหมั่นอัพเดทซิเคียวริตี้แพตช์ไม่ว่า จะเป็นของระบบปฏิบัติการ หรือแอพพลิเคชั่นนั้นๆ ก็ดี เพราะความก้าวหน้าของระบบรักษาความปลอดภัยไซเบอร์เกิดขึ้นทุกวัน บริษัทผู้ให้บริการจึงต้องหมั่นทำการปรับปรุงสินค้าและบริการให้ปลอดภัยมากยิ่งขึ้น ซึ่งการปรับปรุงเพื่อสิ่งที่ดีกว่าจะไม่เป็นผลเลย หากลูกค้าอย่างเราไม่ได้ทำการอัพเดทด้วยตัวเองเช่นกันครับ

เนื้อหาที่เกี่ยวข้อง